HotmailとYahoo Mailを悩ますフィルタの欠陥

　セキュリティ専門家が米国時間23日に明らかにしたところによると、ウェブメールサービスのYahoo MailやHotmailのメッセージフィルタ機能に欠陥があり、ユーザーは特別に作られたオンラインスクリプトを使った攻撃を受ける可能性があるという。

　イスラエルのコンピュータセキュリティ会社、GreyMagic Softwareの研究開発ディレクター、Lee Dagonによると、悪意のある人間がこの欠陥を突いて、ユーザーのパスワードを盗んだり、被害者が開いた電子メールの中味を見たり、ウェブメールを使ってワームを蔓延させる恐れがあるという。GreyMagicはこの欠陥を3月6日に発見し、これに対する勧告を23日に発表した。

　「HotmailとYahooは、あらゆる手段を用いて電子メールのなかにあるスクリプトの実行を阻止しており、両サービスでは受信メッセージに含まれるHTMLコンテンツにフィルタをかけている。我々は、スクリプトを実行させるためにフィルタを回避する方法を発見した」（Dagon）

　この脆弱性は、技術的にはクロスサイトスクリプトの欠陥に分類される問題だ。こうした欠陥は、サイトのセキュリティが抱える問題を利用し、危害を加えることもできるコマンドを、別のサイトやユーザーのコンピュータに渡してしまう。

　Open Web Applications Security Projectでは、eコマースサイトが直面する最重要課題として、この欠陥を挙げている。今回の問題はInternet Explorerのある機能を利用するため、IEユーザーにしか影響はない。

　3月11日からGreyMagicと共同でこの問題に取り組んできたMicrosoftは、悪質な動作をする可能性のあるスクリプトをHotmailのサーバで排除することにより、既にこの欠陥への対策を施している。Microsoftの関係者は、「Hotmailユーザーはこの脆弱性から完全に守られている」と語っている。

　一方のYahooは3月23日午後の時点で、この欠陥は「まもなく」修正できる見通しだと述べている。

　同勧告について、CNET News.comから通知を受けた後の23日に、Yahooの関係者が明らかにしたところによると、社内で障害が発生していた関係で、同セキュリティ会社からの最初の警告を受けられなかったという。

　この脆弱性はInternet ExplorerのHTML+TIMEモジュールを活用する。これは、ブラウザがウェブページとタイミングを取ったり、シンクロできるようにするものだが、ほとんど使われることはない、しかし、この欠陥自体はInternet ExplorerやOutlookにあるものではない。GreyMagicのDagonによると、攻撃を加えるためのコンテンツを用意するにはウェブサービスが必要になるという。